Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Next »

Статията описва как да се конфигурира метод за удостоверяване на потребители чрез Kerberos в Sophos XG.

Инструкции

  1. Задаване на Hostname:

    Конфигурирайте вашият Sophos XG с валиден FQDN hostname, който успешно се resolve от активната директория. FQDN се задава от Administration > Admin settings.

    (кликнете тук, за да видите изображението в пълен размер)
     

  2. Добавяне на AD сървър:

    От Authentication > Servers се добавя сървъра с Add. При добавянето трябва да се посочат името на сървъра, IP адреса, NetBIOS domain, администраторски акаунт, името на домейна и search queries. Примерни настройки за добавяне на AD сървър с домейн име ad.lab.demo: 

    (кликнете тук, за да видите изображението в пълен размер)

    С Test connection се валидират въведените потребител и парола и се проверява дали е установена връзка със сървъра. Запазването на настройките става със Save бутона. 

  3. Задаване на AD сървъра за първоначален източник за идентификация:

    Реда, по който се допитват сървърите за автентикация се променя от Authentication > Services.
    AD сървъра трябва да е на най-отгоре. С Apply се запазват промените. 

    (кликнете тук, за да видите изображението в пълен размер)

    Синхронизираните групи от AD се верифицират от Authentication > Groups.

  4. Позволяване на AD SSO за LAN зоните:

    Идентификацията с AD е необходима за функционирането на Kerberos и NTLM. От Administration > Device access се позволява AD SSO за LAN зоната. Промените се запазват с Apply.  

    (кликнете тук, за да видите изображението в пълен размер)

  5. Позволяване на браузърите да използват Kerberos за автентикация:

    От менюто Authentication > Web authentication се избира Kerberos & NTLM.   

    (кликнете тук, за да видите изображението в пълен размер)

  6. Създаване на Групова политика: 

    От AD сървър се създава групова политика за Audit account logon events. Това става от Start > Administrative Tools > Local Security Policy и на Security Settings > Local Policies > Audit Policy. Активират се Success и Failure. 

    (кликнете тук, за да видите изображението в пълен размер)

    (кликнете тук, за да видите изображението в пълен размер)

    (кликнете тук за да видите изображението в пълен размер)

  7. Позволяване на Kerberos/NTLM автентикиране в уеб браузъра:
     
    За Microsoft Internet Explorer, Microsoft Edge, Opera and Google Chrome: 

  • Отваря се Internet Options: 

От Windows Start menu в търсачката:  Internet Options.

 (кликнете тук, за да видите изображението в пълен размер)

  • Навигира се до Security tab → Local intranet → Sites → Advanced
    От там се добавя адреса на Sophos Firewall WebAdmin.

(кликнете тук, за да видите изображението в пълен размер)

(кликнете тук, за да видите изображението в пълен размер) 

Навигира се до Custom level > Scripting > Active scripting и маркирайте Enable на Active scripting.

  • От User Authentication > Logon секцията се избира Automatic logon only in Intranet zone. Избира се Automatic logon only in Intranet zone.

(кликнете тук, за да видите изображението в пълен размер)

  • От Advanced таба, секция Security се позволява Enable Integrated Windows Authentication.

(кликнете тук, за да видите изображението в пълен размер)

 
За Mozilla Firefox:

  • В полето за URL се въвежда about:config.

  • С търсачката се навигира до network.negotiate

  • Добавя се адреса на Sophos XG Firewall WebAdmin портала на network.negotiate-auth.trusted-uris и network.negotiate-auth.delegation-uris.

(кликнете тук, за да видите изображението в пълен размер)

 

Използвани източници на английски език:

Свързани материали:

  • No labels